Co je Azure Policy?

Služba Azure Policy pomáhá vynutit standardy organizace a vyhodnotit dodržování předpisů s podporou škálování. Skrze řídicí panel dodržování předpisů nabízí agregované zobrazení sloužící k vyhodnocení celkového stavu prostředí s možností přejít k podrobnostem jednotlivých prostředků a podrobnostem zásad. Napomáhá tomu, aby prostředky dodržovaly předpisy, a sice prostřednictvím hromadné nápravy existujících prostředků a automatické nápravy nových prostředků.

Poznámka:

Další informace o nápravě najdete v tématu Náprava nekompatibilních prostředků pomocí služby Azure Policy.

Mezi běžné případy použití služby Azure Policy patří implementace zásad správného řízení v zájmu zajištění konzistence prostředků, dodržování legislativních předpisů, zabezpečení, řízení nákladů a správa. Definice zásad pro tyto běžné případy použití jsou už ve vašem prostředí Azure předdefinované, aby vám pomohly začít.

Konkrétně mezi užitečné akce zásad správného řízení, které můžete vynutit pomocí služby Azure Policy, patří:

  • Zajištění nasazení prostředků Azure pouze do povolených oblastí
  • Vynucení konzistentního použití taxonomických značek
  • Vyžadování prostředků k odesílání diagnostických protokolů do pracovního prostoru služby Log Analytics

Je důležité si uvědomit, že se zavedením služby Azure Arc můžete rozšířit zásady správného řízení napříč různými poskytovateli cloudu a dokonce i do místních datacenter.

Všechna neaktivní uložená data a objekty Azure Policy jsou šifrovaná. Další informace najdete v tématu Šifrování neaktivních uložených dat Azure.

Přehled

Azure Policy vyhodnocuje prostředky a akce v Azure porovnáním vlastností těchto prostředků s obchodními pravidly. Tato obchodní pravidla popsaná ve formátu JSON se označují jako definice zásad. Pro zjednodušení správy je možné seskupit několik obchodních pravidel a vytvořit iniciativu zásad (někdy označovanou jako sada zásad). Po vytvoření obchodních pravidel se definice zásady nebo iniciativa přiřadí k libovolnému rozsahu prostředků, které podpora Azure, jako jsou skupiny pro správu, předplatná, skupiny prostředků nebo jednotlivé prostředky. Přiřazení se vztahuje na všechny zdroje v oboru Resource Manageru daného přiřazení. V případě potřeby je možné vyloučit dílčí rozsahy. Další informace najdete v tématu Obor ve službě Azure Policy.

Azure Policy používá formát JSON k vytvoření logiky, pomocí které vyhodnocení určí, jestli prostředek vyhovuje nebo ne. Definice zahrnují metadata a pravidlo zásad. Definované pravidlo může používat funkce, parametry, logické operátory, podmínky a aliasy vlastností tak, aby přesně odpovídaly požadovanému scénáři. Pravidlo zásady určuje, které prostředky v rozsahu přiřazení se vyhodnotí.

Vysvětlení výsledků vyhodnocení

Prostředky se vyhodnocují v určitých časech během životního cyklu prostředků, životního cyklu přiřazení zásad a pro pravidelné průběžné vyhodnocování dodržování předpisů. Následují časy nebo události, které způsobují vyhodnocení prostředku:

  • Prostředek se vytvoří nebo aktualizuje v oboru přiřazením zásady.
  • Zásady nebo iniciativa se nově přiřazují k oboru.
  • Zásady nebo iniciativa, které jsou už přiřazené k oboru, se aktualizují.
  • Během standardního cyklu vyhodnocení dodržování předpisů, ke kterému dochází jednou za 24 hodin.

Podrobné informace o tom, kdy a jak se vyhodnocení zásad stane, najdete v tématu Aktivační události vyhodnocení.

Řízení odpovědi na vyhodnocení

Obchodní pravidla pro zpracování nekompatibilních prostředků se mezi organizacemi značně liší. Mezi příklady toho, jak organizace chce, aby platforma reagovala na nevyhovující prostředek, patří:

  • Odepřít změnu prostředku
  • Zaznamenání změny do prostředku
  • Změna prostředku před změnou
  • Změna prostředku po změně
  • Nasazení souvisejících prostředků vyhovujících předpisům
  • Blokování akcí u prostředků

Azure Policy umožňuje každou z těchto obchodních reakcí prostřednictvím uplatňování účinků. Efekty jsou nastaveny v části pravidla zásad definice zásady.

Oprava prostředků, které nevyhovují předpisům

I když tyto účinky primárně ovlivňují prostředek při vytváření nebo aktualizaci prostředku, Azure Policy také podporuje práci se stávajícími nevyhovujícími prostředky, aniž by bylo nutné tento prostředek změnit. Další informace o dodržování předpisů stávajících prostředků najdete v tématu Náprava prostředků.

Přehled videa

Následující přehled služby Azure Policy se týká sestavení 2018. Pokud si chcete stáhnout snímky nebo video, navštivte stránku Řízení prostředí Azure prostřednictvím služby Azure Policy na webu Channel 9.

Začínáme

Azure Policy a Azure RBAC

Mezi Azure Policy a řízením přístupu na základě role v Azure (Azure RBAC) existuje několik klíčových rozdílů. Azure Policy vyhodnocuje stav prozkoumáním vlastností prostředků, které jsou reprezentované v Resource Manageru a vlastnostech některých poskytovatelů prostředků. Azure Policy zajišťuje, aby stav prostředků dodržoval vaše obchodní pravidla bez obav o to, kdo změnu provedl nebo kdo má oprávnění provést změnu. Azure Policy prostřednictvím efektu DenyAction může také blokovat určité akce u prostředků. Některé prostředky Azure Policy, jako jsou definice zásad, definice iniciativ a přiřazení, jsou viditelné pro všechny uživatele. Tento návrh umožňuje transparentnost pro všechny uživatele a služby pro to, jaká pravidla zásad jsou ve svém prostředí nastavena.

Azure RBAC se zaměřuje na správu akcí uživatelů v různých oborech. Pokud se vyžaduje řízení akce na základě informací o uživateli, pak je Azure RBAC správným nástrojem, který se má použít. I když má jednotlivec přístup k provedení akce, pokud je výsledkem nevyhovující prostředek, Azure Policy stále blokuje vytvoření nebo aktualizaci.

Kombinace Azure RBAC a Azure Policy poskytuje úplné řízení rozsahu v Azure.

Oprávnění Azure RBAC ve službě Azure Policy

Služba Azure Policy má několik oprávnění, která se označují jako operace, ve dvou poskytovatelích prostředků:

Mnoho předdefinovaných rolí uděluje oprávnění k prostředkům Azure Policy. Role Přispěvatel zásad prostředků zahrnuje většinu operací Azure Policy. Vlastník má úplná práva. Přispěvatel i čtenář mají přístup ke všem operacím čtení Azure Policy.

Přispěvatel může aktivovat nápravu prostředků, ale nemůže vytvářet ani aktualizovat definice a přiřazení. Uživatelský přístup Správa istrator je nezbytný k udělení spravované identity pro deployIfNotExists nebo úpravě přiřazení nezbytných oprávnění.

Poznámka:

Všechny objekty zásad, včetně definic, iniciativ a přiřazení, budou čitelné pro všechny role v oboru. Například přiřazení zásad s vymezeným předplatným Azure bude čitelné všemi držiteli rolí v oboru předplatného a níže.

Pokud žádná z předdefinovaných rolí nemá požadovaná oprávnění, vytvořte vlastní roli.

Operace Azure Policy můžou mít významný vliv na vaše prostředí Azure. Měla by být přiřazena pouze minimální sada oprávnění potřebná k provedení úkolu a tato oprávnění by neměla být udělena uživatelům, kteří je nepotřebují.

Poznámka:

Spravovaná identita deployIfNotExists nebo úprava přiřazení zásad potřebuje dostatečná oprávnění k vytvoření nebo aktualizaci cílových prostředků. Další informace najdete v tématu Konfigurace definic zásad pro nápravu.

Speciální požadavek na oprávnění pro Azure Policy pomocí Azure Virtual Network Manageru

Azure Virtual Network Manager (Preview) umožňuje použít konzistentní zásady správy a zabezpečení pro více virtuálních sítí Azure ve vaší cloudové infrastruktuře. Dynamické skupiny Azure Virtual Network Manageru (AVNM) používají definice azure Policy k vyhodnocení členství ve virtuální síti v těchto skupinách.

Pokud chcete vytvořit, upravit nebo odstranit dynamické zásady skupiny Azure Virtual Network Manageru, potřebujete:

  • Čtení a zápis oprávnění Azure RBAC do podkladových zásad
  • Oprávnění Azure RBAC pro připojení ke skupině sítě (ověřování classic Správa se nepodporuje).

Konkrétně požadovaná oprávnění poskytovatele prostředků je Microsoft.Network/networkManagers/networkGroups/join/action.

Důležité

Pokud chcete upravit dynamické skupiny AVNM, musíte mít udělený přístup pouze prostřednictvím přiřazení role Azure RBAC. Klasické Správa/starší autorizace se nepodporuje. To znamená, že pokud byl váš účet přiřazen pouze roli předplatného spolusprávce, nemáte žádná oprávnění k dynamickým skupinám AVNM.

Prostředky, na které se vztahuje Azure Policy

I když je možné zásadu přiřadit na úrovni skupiny pro správu, vyhodnocují se jenom prostředky na úrovni předplatného nebo skupiny prostředků.

Pro některé poskytovatele prostředků, jako je konfigurace počítače, Azure Kubernetes Service a Azure Key Vault, existuje hlubší integrace správy nastavení a objektů. Další informace najdete v režimech poskytovatele prostředků.

Doporučení pro správu zásad

Tady je několik ukazatelů a tipů, které je potřeba mít na paměti:

  • Začněte efektem nebo auditIfNotExist efektem audit místo vynucování (deny, modify, deployIfNotExist), abyste mohli sledovat dopad definice zásad na prostředky ve vašem prostředí. Pokud už máte skripty pro automatické škálování aplikací, nastavení efektu vynucení může bránit těmto úlohám automatizace, které už jsou zavedené.

  • Při vytváření definic a přiřazení zvažte organizační hierarchie. Doporučujeme vytvářet definice na vyšších úrovních, například na úrovni skupiny pro správu nebo předplatného. Pak vytvořte přiřazení na další podřízené úrovni. Pokud vytvoříte definici ve skupině pro správu, přiřazení může být omezené na předplatné nebo skupinu prostředků v rámci této skupiny pro správu.

  • Doporučujeme vytvářet a přiřazovat definice iniciativ i pro jednu definici zásad. Máte například zásadu definice zásadDefA a vytvoříte ji v rámci iniciativy Initiative Definition InitiativeDefC. Pokud později vytvoříte další definici zásad pro policyDefB s cíli podobnými jako policyDefA, můžete ji přidat do iniciativyDefC a sledovat je společně.

    • Po vytvoření přiřazení iniciativy se definice zásad přidané do iniciativy stanou také součástí přiřazení této iniciativy.

    • Při vyhodnocování přiřazení iniciativy se vyhodnocují také všechny zásady v rámci iniciativy. Pokud potřebujete zásadu vyhodnotit jednotlivě, je lepší ji zahrnout do iniciativy.

  • Spravujte prostředky Azure Policy jako kód s ručními kontrolami změn definic zásad, iniciativ a přiřazení. Další informace o navrhovaných vzorech a nástrojích najdete v tématu Návrh služby Azure Policy jako pracovních postupů kódu.

Objekty Azure Policy

Definice zásady

Postup vytváření a implementace zásady v Azure Policy začíná vytvořením definice zásady. Každá definice zásady se vynucuje za určitých podmínek. A má definovaný účinek, který se provede, pokud jsou splněny podmínky.

Ve službě Azure Policy nabízíme několik předdefinovaných zásad, které jsou ve výchozím nastavení k dispozici. Příklad:

  • Povolené skladové položky účtu úložiště (Odepřít): Určuje, jestli je nasazený účet úložiště v rámci sady velikostí skladových položek. Jeho účinkem je zamítnout všechny účty úložiště, které nevyhovují sadě definovaných velikostí skladových položek.
  • Povolený typ prostředku (Odepřít): Definuje typy prostředků, které můžete nasadit. Jejím účinkem je odepřít všechny prostředky, které nejsou součástí tohoto definovaného seznamu.
  • Povolená umístění (Odepřít): Omezí dostupná umístění pro nové prostředky. Účinkem je vynucení vašich požadavků na geografické dodržování předpisů.
  • Povolené skladové položky virtuálních počítačů (Odepřít): Určuje sadu skladových položek virtuálních počítačů, které můžete nasadit.
  • Přidání značky k prostředkům (Modify): Použije požadovanou značku a její výchozí hodnotu, pokud ji požadavek nasazení nezadá.
  • Nepovolené typy prostředků (Odepřít): Zabrání nasazení seznamu typů prostředků.

K implementaci těchto definic zásad (předdefinovaných i vlastních definic) je potřeba je přiřadit. Jakékoli z těchto zásad můžeme přiřadit prostřednictvím webu Azure Portal, PowerShellu nebo Azure CLI.

Vyhodnocení zásad probíhá s několika různými akcemi, jako jsou přiřazení zásad nebo aktualizace zásad. Úplný seznam najdete v tématu Triggery vyhodnocení zásad.

Další informace o strukturách definic zásad najdete v článku Struktura definic zásad.

Parametry zásad pomáhají zjednodušit správu zásad tím, že snižují počet definic zásad, které musíte vytvářet. Parametry můžete definovat při vytváření definice zásady a tím ji více zobecnit. Následně můžete tuto definici zásady použít opakovaně pro různé scénáře. Provedete to předáváním různých hodnot při přiřazování této definice zásady. Například můžete pro každé předplatné zadat jednu sadu umístění.

Parametry jsou definovány při vytváření definice zásady. Při definování je parametru dán název a volitelně i hodnota. Pro zásadu můžete například definovat parametr s názvem location (umístění). Následně mu můžete při přiřazování zásady předávat různé hodnoty, například EastUS nebo WestUS.

Další informace o parametrech zásad naleznete v tématu Struktura definice – Parametry.

Definice iniciativy

Definice iniciativy je kolekce definic zásad, které jsou přizpůsobené k dosažení jednotného zastřešujícího cíle. Definice iniciativ zjednodušují správu a přiřazování definic zásad. Toto zjednodušení spočívá v seskupování sad zásad do jedné položky. Můžete například vytvořit iniciativu s názvem Povolit monitorování v programu Microsoft Defender for Cloud s cílem monitorovat všechna dostupná doporučení zabezpečení v microsoft defenderu pro cloud.

Poznámka:

Sada SDK, jako je Azure CLI a Azure PowerShell, používá vlastnosti a parametry s názvem PolicySet k odkazům na iniciativy.

V rámci této iniciativy byste měli například tyto definice zásad:

  • Monitorování nešifrované databáze SQL v programu Microsoft Defender for Cloud – monitorování nešifrovaných databází a serverů SQL
  • Monitorování ohrožení zabezpečení operačního systému v Programu Microsoft Defender pro cloud – pro monitorovací servery, které nevyhovují nakonfigurovaným směrnému plánu.
  • Monitorování chybějící služby Endpoint Protection v Programu Microsoft Defender pro cloud – pro monitorování serverů bez nainstalovaného agenta ochrany koncových bodů

Podobně jako parametry zásad pomáhají parametry iniciativ zjednodušit správu iniciativ tím, že snižují redundanci. Parametry iniciativy jsou parametry používané definicemi zásad v rámci iniciativy.

Jako příklad může posloužit scénář, ve kterém máte definici iniciativy initiativeC s definicemi zásad policyA a policyB, z nichž každá očekává jiný typ parametru:

Zásady Název parametru Typ parametru Poznámka:
policyA allowedLocations pole Tento parametr jako hodnotu očekává seznam řetězců, protože typ parametru byl definovaný jako pole.
policyB allowedSingleLocation řetězec Tento parametr jako hodnotu očekává jedno slovo, protože typ parametru byl definovaný jako řetězec.

V tomto scénáři máte při definování parametrů iniciativy pro initiativeC tři možnosti:

  • Použít parametry definic zásad v rámci této iniciativy: V tomto příkladu se allowedLocations a allowedSingleLocation stanou parametry iniciativy pro initiativeC.
  • Zadat hodnoty do parametrů definic zásad v rámci této definice iniciativy. V tomto příkladu můžete zadat seznam umístění pro parametr policyAallowedLocations a parametr policyBallowedSingleLocation. Hodnoty můžete zadat také při přiřazování této iniciativy.
  • Zadat seznam možností hodnot, které se můžou použít při přiřazování této iniciativy. Když přiřadíte tuto iniciativu, zděděné parametry z definic zásad v rámci této iniciativy můžou mít pouze hodnoty z tohoto zadaného seznamu.

Při vytváření možností hodnot v definici iniciativy nemůžete během přiřazení iniciativy zadat jinou hodnotu, protože není součástí seznamu.

Další informace o strukturách definic iniciativ najdete v tématu Struktura definice iniciativy.

Přiřazení

Přiřazení je definice zásady nebo iniciativa, která byla přiřazena ke konkrétnímu oboru. Tento obor může být v rozsahu od skupiny pro správu až po jednotlivé prostředky. Obor termínu odkazuje na všechny prostředky, skupiny prostředků, předplatná nebo skupiny pro správu, ke kterým je definice přiřazena. Přiřazení jsou zděděna všemi podřízenými prostředky. Tento návrh znamená, že definice použitá na skupinu prostředků se také použije na prostředky v této skupině prostředků. Z přiřazení však můžete vyloučit dílčí rozsah.

Například v oboru předplatného můžete přiřadit definici, která brání vytvoření síťových prostředků. Můžete vyloučit skupinu prostředků v daném předplatném, která je určená pro síťovou infrastrukturu. Potom této skupině síťových prostředků udělíte přístup uživatelům, kterým důvěřujete při vytváření síťových prostředků.

V jiném příkladu můžete chtít přiřadit definici seznamu povolených typů prostředků na úrovni skupiny pro správu. Pak přiřadíte více zásad, které jsou pro podřízenou skupinu pro správu nebo dokonce přímo v předplatných (což umožňuje více typů prostředků). Tento příklad ale nebude fungovat, protože Azure Policy je explicitní systém odepření. Místo toho je potřeba vyloučit podřízenou skupinu pro správu nebo předplatné z přiřazení na úrovni skupiny pro správu. Potom přiřaďte další definici na úrovni podřízené skupiny pro správu nebo předplatného. Pokud nějaké přiřazení způsobí odepření zdroje, jediným způsobem, jak zdroj povolit, je upravit přiřazení zamítnutí.

Přiřazení zásad při vyhodnocování prostředků vždy používají nejnovější stav jejich přiřazené definice nebo iniciativy. Pokud se už přiřazená definice zásady změní, budou při vyhodnocování používat všechna existující přiřazení této definice aktualizovanou logiku.

Další informace o nastavení přiřazení prostřednictvím portálu najdete v tématu Vytvoření přiřazení zásad pro identifikaci nevyhovujících prostředků ve vašem prostředí Azure. K dispozici jsou také kroky pro PowerShell a Azure CLI. Informace o struktuře přiřazení naleznete v tématu Struktura přiřazení.

Maximální počet objektů Azure Policy

Pro každý typ objektu pro Azure Policy existuje maximální počet. U definic znamená položka Rozsah skupinu pro správu nebo předplatné. Pro přiřazení a výjimky položka Oboru znamená skupinu pro správu, předplatné, skupinu prostředků nebo jednotlivé prostředky.

Kde Co Maximální počet
Obor Definice zásad 500
Obor Definice iniciativ 200
Tenant Definice iniciativ 2 500
Obor Přiřazení zásad nebo iniciativ 200
Obor Výjimky 1000
Definice zásady Parametry 20
Definice iniciativy Zásady 1000
Definice iniciativy Parametry 400
Přiřazení zásad nebo iniciativ Vyloučení (notScopes) 400
Pravidlo zásad Vnořené podmíněné podmínky 512
Náprava – úloha Zdroje informací 50 000
Definice zásad, iniciativa nebo text žádosti o přiřazení Přijaté 1 048 576

Pravidla zásad mají další omezení počtu podmínek a jejich složitosti. Další podrobnosti najdete v tématu Omezení pravidel zásad.

Další kroky

Získali jste přehled o službě Azure Policy a některých klíčových konceptech. Tady je návrh dalších kroků: